Una falla di sicurezza critica nel plugin Everest Forms Pro per WordPress consente agli aggressori di prendere il controllo totale del sito. La vulnerabilità, già confermata, colpisce migliaia di utenti che dipendono da questo componente aggiuntivo per creare moduli di contatto e registrazione. Per i visitatori, il rischio è diretto: i loro dati personali potrebbero essere esposti se l'amministratore non aggiorna il plugin all'ultima versione.
Come opera il fallo e quali versioni sono a rischio 🛡️
La breccia risiede in una funzione di caricamento file senza la dovuta validazione. Un aggressore non autenticato può inviare file dannosi al server, come script PHP, ed eseguirli per prendere il controllo del sito. Le versioni interessate sono Everest Forms Pro precedenti alla 2.0.7. La soluzione è aggiornare immediatamente. Se usi questo plugin, controlla la versione oggi stesso; se sei utente di un sito che lo utilizza, non inserire dati fino a quando non confermi l'aggiornamento.
Il plugin che chiedeva dati e poi ha chiesto scusa 😅
La cosa curiosa è che molti hanno installato Everest Forms Pro proprio per proteggere le informazioni dei propri utenti. Ora si scopre che il guardiano aveva bisogno di essere salvato lui stesso. È come assumere una guardia che si rivela essere quella che apre la porta sul retro. Quindi, se il tuo sito chiedeva dati personali con questo plugin, forse è un buon momento per scusarsi e affrettarsi ad aggiornare.